目次

データ暗号化とは?

目次

データ 保護に重要なデータ暗号化は、データを別の形式やコードに変換して不正アクセスを防止し、組織がプライバシーを維持し、コンプライアンスを満たすのに役立ちます。アルゴリズム(または暗号)を使用して、平文として知られる読み取り可能なデータを、暗号文として知られる読み取り不可能なデータに変換します。正しい秘密鍵を持つ者だけが、暗号文を復号して平文に戻し、元の情報にアクセスすることができます。

 

データ暗号化の説明

クラウドセキュリティにおける データの暗号化は、機密情報を保護し、権限のない関係者がアクセスできないようにします。データ暗号化の核心は、特定のアルゴリズムまたは暗号を使用して、平文データを暗号文と呼ばれる読み取り不可能な形式に変換することです。暗号化処理には暗号化と復号化の両方に秘密鍵が要件となり、対称暗号化では両方の処理に同じ鍵を使用し、非対称暗号化では暗号化に公開鍵、復号化に秘密鍵を使用します。

クラウドのセキュリティにとって、データの暗号化は、静止時および転送中のデータを保護する上で重要な役割を果たします。高度な暗号化技術により、侵害や不正アクセスから強固に保護することができます。さらに、セキュリティを強化するために、組織は鍵の安全な保管、ローテーション、配布を含む鍵管理を実装することができます。

 

暗号化の種類

暗号化には主に2つのタイプがあり、データ保護と通信におけるセキュリティとロジスティクスの異なる課題に対応しています。組織はこれらを別々に使用することもできますが、主要な流通とパフォーマンスのニーズの課題を克服するために、これらを組み合わせることがよくあります。

対称暗号化(または秘密鍵暗号化)

秘密鍵暗号化としても知られる対称暗号化では、暗号化と復号化の両方に同じ鍵を使用します。つまり、送信者と受信者は、データの暗号化と復号化のために1つの秘密鍵を共有します。この技術は、非対称暗号化と比較して計算オーバーヘッドが少ないため、大量のデータを高速かつ効率的に保護することができます。対称暗号化には欠点もあります。共有鍵の安全な配布と管理が課題であり、この鍵への不正アクセスは暗号化されたデータを危険にさらす可能性があるからです。

一般的な対称暗号化アルゴリズムには、Advanced Encryption Standard (AES) や Data Encryption Standard (DES) があります。

非対称暗号化(または公開鍵暗号化)

非対称暗号化(公開鍵暗号化)は、暗号化用の公開鍵と復号化用の秘密鍵という2つの異なる鍵に依存します。公開鍵はオープンに共有できますが、秘密鍵は秘密にしておかなければなりません。非対称暗号化では、秘密鍵のみを安全に保管する必要があるため、対称暗号化における鍵配布の問題が解決されます。しかし、非対称暗号化には、対称暗号化と同様に、より多くの計算資源を必要とし、一般的に対称暗号化よりも遅いという欠点があります。RSA (Rivest-Shamir-Adleman) は広く使われている非対称暗号化アルゴリズムです。

 

データ暗号化のメリットとは?

組織は、顧客情報から企業秘密に至るまで、複雑なデータの網の目をかいくぐることになります。このようなデジタル環境は、チャンスに富んでいる一方で、脆弱性も抱えています。データの暗号化は、ビジネスデータを保護し、企業が自信をもって安全に業務を遂行できるようにするための防衛手段として登場しました。

データ暗号化の主な利点の1つは、機密情報の保護です。データが暗号化されると、読み取れない形式に変換され、正しい復号キーを持っている人だけがアクセスできるようになります。つまり、悪意ある行為者がシステムに侵入したとしても、盗まれたデータは暗号化されたテキストのままであり、対応する鍵がなければ事実上役に立ちません。このセキュリティの層は、専有情報を保護するためだけでなく、顧客の信頼を維持するためにも最も重要です。顧客や取引先は、自分の個人情報や財務情報を責任を持って取り扱ってくれると信じる組織と取引する可能性が高くなります。情報漏えいは企業の評判を落とし、金銭的な損失をもたらし、さらには法的な結果を招く可能性もあります。

コンプライアンス

データを保護する一方で、暗号化は規制コンプライアンスにも貢献し、欧州連合(EU)の一般データ保護規則(GDPR)や米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)などの法律に概説されている要件に対応します。暗号化を採用することで、組織はデータプライバシーとセキュリティに対するコミットメントを実証します。

特に金融や医療などの分野では、暗号化された通信により、企業間でやり取りされる 機密データが 改ざんされることなく確実に保護されます。データの暗号化は、組織を外部の脅威から保護し、顧客や規制当局から信頼されるデータの管理者として位置付けます。強力な暗号化手法を採用することで、組織はコンプライアンスを維持し、罰金や潜在的な法廷闘争を回避することができます。

 

データ暗号化の使用例

データの暗号化は情報を保護し、さまざまな分野でプライバシーとセキュリティを確保します。提供される保護は、データの完全性を維持するだけでなく、盗まれたデータを使用不能にし、 データ侵害の影響を軽減することで、 データ損失を防止します。データ暗号化の一般的な用途には、次のようなものがあります:

  • 電子メール、チャット、通話などの通信を不正な傍受から保護します。
  • 機密データを外部からの盗難や改ざんから保護し、 クラウドデータのセキュリティを 強化します。
  • 機密データの機密性の維持、HIPAA、PCI-DSS、GDPRなどの規制のコンプライアンス
  • 電子商取引およびオンラインバンキングにおけるクレジットカードおよび銀行情報の保護
  • 特にデータ・ストレージ・デバイス(ハードドライブ、SSD)上のファイルやデータベースが紛失または盗難にあった場合に備えて、静止状態のデータを安全に保管します。
  • デジタル署名によるメッセージの真正性と出所の検証(非対称暗号化を使用)
  • 信頼できないネットワーク上でもVPN経由でインターネットトラフィックのプライバシーを維持
  • 平文パスワードの代わりにハッシュ化(塩漬け)パスワードを使用
  • エンドツーエンドの暗号化により、メッセージングアプリで送信されたコンテンツを送信者と受信者のみが読めるようにします。
  • ビットコインのような暗号通貨を暗号化して保護し、取引と新規ユニット作成を保護します。
  • 著作権で保護されたコンテンツ(電子書籍、音楽、ビデオ)の不正な複製や使用からの保護
  • IoTデバイスにおけるデータ伝送と保存の保護

 

キーセレクション

アプリケーションに適切な暗号アルゴリズムと鍵管理アルゴリズムを選択するには、アプリケーションの目的とセキュリティ要件を明確に理解する必要があります。例えば、保存データの保護が目的であれば、静止状態のデータのセキュリティに重点を置いたアルゴリズム・スイートを選択します。逆に、データを送受信するアプリケーションは、トランジット中のデータ保護を重視するアルゴリズム・スイートを優先すべきです。

最適な鍵管理手法を決定するためには、まずアプリケーションのセキュリティ目的を理解することから始めましょう。申請には以下のことが必要です:

  • 静止データと転送データの両方の機密性
  • エンドデバイス認証
  • データ起源の信頼性
  • 輸送中のデータの完全性
  • データ暗号鍵を生成するための鍵

アプリケーションのセキュリティ要件を確立することで、組織は必要なプロトコルとアルゴリズムを特定することができます。これらのプロトコルとアルゴリズムを明確に理解することで、チームはアプリケーションの目的をサポートするさまざまなキータイプを定義し、堅牢なセキュリティと最適なパフォーマンスを確保することができます。

 

データ暗号化とアルゴリズム

適切な暗号化アルゴリズムを選択することは、データのプライバシーを確保し、量子コンピューティングがもたらす潜在的な脅威から保護するための、初期の重要なステップです。セキュリティや業界標準へのコンプライアンス、パフォーマンス、キー管理、互換性、拡張性、新たな脅威に対する将来性など、組織的な要素を考慮する必要があります。

ガロアカウンターモード(GCM)付きAES-256

ガロアカウンターモード(GCM)付きAES-256は、強力な暗号化と認証を提供するため、広く推奨されているオプションです。GCMは、高性能な共通鍵ブロック暗号AES-256と効率的なメッセージ認証コードを組み合わせた認証暗号化モードであり、データの機密性と完全性の両方を保証します。

ChaCha20とPoly1305

もうひとつの有力な選択肢は、ChaCha20とPoly1305の組み合わせです。ChaCha20は高速暗号化を提供するストリーム暗号で、Poly1305は暗号メッセージ認証コードとしてデータの完全性を提供します。これらのアルゴリズムを組み合わせることで、暗号化されたデータの機密性と完全性を保証する、安全なAEAD(authenticated encryption with associated data)スキームが構築されます。

 

 

暗号化のベストプラクティス

  • 機密性の高い通信にはエンドツーエンドの暗号化を採用。
  • 静止時および転送中のデータを保護します。
  • アクセスコントロールに多要素認証を適用します。
  • 暗号ライブラリとプロトコルの更新
  • 定期的なセキュリティ監査と脆弱性評価の実施
  • 暗号化の方針と実践についてスタッフを訓練します。
  • 暗号化キーが暗号化されていない限り、暗号化キーが暗号化する機密データの隣に保管しないでください。
  • 暗号鍵を定期的にローテーションします。
  • 強力なデータ保護を維持するために、業界標準と規制要件を遵守し、新たな暗号技術や慣行に関する情報を常に入手します。

 

データ暗号化に関するFAQ

収束暗号化とは、同じ暗号鍵が与えられた場合、同じ平文データに対して同じ暗号文を生成する暗号技術です。この方法は決定論的なプロセスを利用し、多くの場合、平文データのハッシュを暗号化キーとして使用します。

重複データに対して同じ暗号文を生成することで、収束暗号化はクラウド環境における効率的なストレージと重複排除を可能にします。収束型暗号化にはストレージ最適化のメリットがある一方で、セキュリティ上のリスクもあります。平文を知っている攻撃者は、ハッシュを計算し、暗号鍵を導き出し、暗号化されたストレージ内の特定のデータの存在を確認できる可能性があり、プライバシーや機密性の侵害につながる可能性があります。

暗号ハッシュ関数は、任意の長さの入力を受け取り、ハッシュまたはダイジェストとして知られる固定長の出力を生成する数学的アルゴリズムです。暗号ハッシュ関数をデータの完全性とセキュリティの確保に理想的なものにしている主な特徴は以下の通りです:

  • 決定論、つまり同じ入力は常に同じハッシュを生成します。
  • ハッシュから元の入力を導き出すことができないため、一方通行の機能が保証されます。
  • 耐衝突性が強く、同じハッシュを生成できる2つの異なる入力を見つけることが困難。

一般的に使用される暗号ハッシュ関数には、SHA-256、SHA-3、BLAKE2などがあり、デジタル署名、データ整合性検証、パスワード保存など、さまざまなアプリケーションで採用されています。

オンライン取引のセキュリティとは、電子商取引やオンラインバンキング活動において、クレジットカード情報、銀行情報、その他の機密データを保護するために採用される測定可能な手段を指します。セキュリティは、暗号化、安全な通信プロトコル、認証メカニズムによって実現されます。Payment Card Industry Data Security Standard(PCI-DSS)は、処理、保管、送信中のカード会員データのセキュリティを保証する一連の要件です。セキュア・ソケット・レイヤー(SSL)またはトランスポート・レイヤー・セキュリティ(TLS)プロトコルを実装することも、ユーザーとサーバー間のデータ交換を保護するのに役立ちます。

静止データ保護では、データストレージデバイスやクラウドストレージに保存されたファイルやデータベースを保護します。暗号化は、適切な復号化キーがなければデータを読めなくするため、静止データ保護において基本的な役割を果たします。

強力なパスワードや多要素認証などのアクセス制御は、不正アクセスを制限することで保存データのセキュリティを強化します。定期的なデータバックアップと古いストレージデバイスの安全な廃棄も、静止データの保護に貢献します。

クラウドストレージのセキュリティには、クラウドに保存されたデータを不正アクセス、改ざん、削除から保護するための測定可能な手段が含まれます。これには、静止時および転送時のデータの暗号化、強力なアクセス制御、ユーザー活動の包括的な監視とロギングが含まれます。さらに、クラウドストレージのセキュリティには、規制コンプライアンスの遵守、データプライバシーの確保、安全なインフラ、定期的なセキュリティアップデート、脆弱性管理を提供する信頼できるクラウドサービスプロバイダーとの連携が含まれます。

クラウドサービスプロバイダーとユーザーの双方がデータの安全確保に積極的に取り組む 責任共有モデルを採用することで、クラウドストレージのセキュリティが強化されます。

認証とは、保護されたリソースにアクセスしようとするユーザー、デバイス、またはシステムの身元を確認するプロセスです。許可されたエンティティのみが機密データやサービスにアクセスできるようにします。一般的な認証方法には次のようなものがあります:

  • パスワード
  • セキュリティ・トークン
  • バイオメトリクス識別子
  • デジタル証明書

多要素認証(MFA)は、これらの方法を2つ以上組み合わせ、複数の身元証明を要件とすることでセキュリティを大幅に強化します。

仮想プライベートネットワーク(VPN)は、ユーザーのデバイスとリモートサーバーの間に暗号化された接続を作成する技術であり、通常はVPNサービスプロバイダーによって運営されています。セキュアな接続により、ユーザーはプライベートネットワークに直接接続しているかのようにインターネット上でデータを送信することができ、信頼されていないネットワーク上でもプライバシーと機密性を維持することができます。

VPNは、制限されたコンテンツにアクセスしたり、検閲を回避したり、悪意のある行為者による傍受から機密データを保護したりするために使用できます。VPNはまた、企業が企業リソースへのリモートアクセスを可能にするために使用され、従業員と組織のネットワーク間の安全な通信を保証します。

EaaSは、ユーザーが自分のシステムに暗号化をインストールすることなく、クラウドベースの暗号化サービスを利用するモデルです。EaaSを利用する組織には次のようなメリットがあります:

  • 静止時の暗号化
  • 転送中の暗号化(TLS)
  • 鍵の取り扱いや暗号実装は暗号化サービスが担当
  • プロバイダーは、機密データを扱うサービスを追加できます。
関連コンテンツ
DSPM:必要ですか?
データ・セキュリティに対する5つの主要なアプローチと、各データ・セキュリティ・アプローチのユースケースおよびアプリケーションをご紹介します。
2024年のデータとAIの保護CISOが知っておくべきこと
クラウド環境におけるデータの発見、分類、保護、管理にデータセキュリティの最新技術がどのように役立つのか、データセキュリティの専門家とともにご紹介します。
DSPMとDDRによるデータ・ランドスケープの保護
データセキュリティリスクの先取りデータ・セキュリティ体制管理(DSPM)とデータ検知・対応(DDR)が、どのようにセキュリティ・ギャップを埋め、セキュリティを強化するのかについてご紹介します。
DSPMとDDRのバイヤーズ・ガイド
クラウド・データ・セキュリティ・プロバイダーに何を求めるべきか、DSPMとDDRが組織のセキュリティ態勢をどのように大幅に強化できるかをご紹介します。
次へ データ・スプロールとは?

最新ニュース、イベント情報、脅威アラートを配信